合規信息化是藍海嗎?企業對合規信息化需求急迫嗎?
◎ 文 《法人》雜誌全媒體記者 李遼
合規領域重磅文件《中央企業合規管理辦法》強調企業要進行合規管理信息化建設,爲合規管理信息化建設明確了目標和方向、實現路徑和運營方式。
如今,國家對非中央企業雖然沒有合規信息化的要求,但由於其能夠在企業自身業務領域及涉案企業合規改革中產生積極影響,因此,合規信息化建設已成爲各類企業的基本共識。近日,《法人》記者就企業落實合規信息化有關問題,採訪了上海交通大學企業法務研究中心副主任施浩。
▲ 施浩 資料 圖片
系統思維 源頭防控
利用合規信息化,可實現合規管理與企業信息系統互聯互通,實現數據共享,對關鍵節點動態監測,實時監控風險。
《法人》:什麼是合規信息化?
施浩:合規信息化是一種對企業從立項之初到履約終止各種業務全生命週期進行智能化、可視化的全流程、全節點、多組合性審查的合規管理體系。
《法人》:合規信息化有何特徵?
施浩:首先是上下貫通,全面覆蓋。企業合規對企業經營管理行爲和員工履職行爲進行了要求。這兩類行爲涉及法律、審計、財稅、環保和數據交易等業務中的工作流程和節點。
以往,在沒有信息化的背景下,這些涉及合規的工作業務主要依靠有工作經驗的企業人員來開展和把控。但人的工作經驗有限,就引發合規業務開展過程中或多或少存在遺漏工作流程與節點的現象。從而導致企業內外部之間信息不匹配,爲企業舞弊行爲產生提供溫牀。所以,開展合規信息化能讓企業工作人員更全面瞭解自己的工作任務與職業規範,減少信息不匹配的現象,從而在源頭防止舞弊行爲。
其次是系統思維,實時監測。合規意味着時刻遵循法律法規或行業規範。在以往線下合規過程中,因爲沒有及時、成體系的解決方案,如何確保工作行爲時刻不偏離法律法規,如何及時發現業務偏離後可能導致的不規範行爲,如何及時用專業方式防止不規範行爲進一步演化爲舞弊行爲等成爲一系列難題。
而合規信息化可以將各種帶有專業性與行業性特徵的審查模型嵌入項目全生命週期管理中,使得其中每一項流程和每一個節點都有相應匹配的合規審查內容與舞弊防範範式,從而確保項目在全生命週期的推進過程中擁有遞進式、層層保險的合規審查監測機制,防止舞弊行爲發生。
提升合規效率與專業性
合規信息化可打破數據孤島和系統藩籬,將合規管理信息化系統與其他業務信息系統互聯互通,各取所需,助力一道防線自查自糾、自我完善,使合規分析按條線、分模塊進行,提高合規分析精準度。
《法人》:企業對合規信息化是否有迫切需求?
施浩:有的。首先,從效率方面考慮。舞弊行爲來源於日常業務的不規範操作,這種不規範操作往往具有瞬發性。在沒有信息化的背景下,企業工作人員有意不規範操作難以及時查證,直到演化成影響較大的舞弊行爲甚至犯罪行爲時才被發現。而合規信息化能夠用專業性和行業性的審查模型,一方面從項目生命週期推進的角度,發現與制止項目流程早期的不規範行爲,提高預防舞弊行爲的效率。另一方面,在項目生命推進過程中,每項流程與節點都會有不同的不規範操作。合規信息化的介入,能建立起具有層次的防舞弊行爲體系,即使有不規範操作產生,也能及時發現並遏制這類行爲發展爲舞弊行爲。
其次,從專業性考慮。當下法律法規以及行業標準中,有許多涉及業務工作規範以及犯罪行爲防治的條款,但這些條款往往缺乏統一的實操手段來指導企業合規工作。合規信息化以行業性爲出發點,整合行業中各項專業法律法規以及行業標準,將它們紙面上的規定變爲項目生命週期推進過程中可操作、可復現、可追溯的合規方式與手段,解決企業以往在合規管理過程中操作性不強、無具體抓手的問題。
再次,從企業自身優化保護需求來考慮。企業合規的本質是保護企業自身不被舞弊行爲影響。一方面,合規信息化將提升合規的效率與專業性,爲企業更及時發現和處理自身風險提供有效抓手;另一方面,合規信息化作爲檢察機關涉案企業合規改革中第三方評估的一項重要內容,一直受檢察機關重視。在第三方評估沒有形成統一標準前,企業自身合規信息化建設將有效保護企業,有助於檢察機關在對企業的評估中增加更多積極評價因素。
最後,從企業商譽考慮。合規信息化的推行會減少不規範操作帶來的灰色領域,企業通過合規信息化建設,能夠獲得更具價值的商業信譽。一方面,投資者與消費者更傾向於選擇內控制度完善且業務模式清晰的企業;另一方面,合規信息化建設將使企業成爲行業標杆,不僅能夠探索合規信息化新範式,還可以摸索在合規信息化前提下業務開展的高效模式。
《法人》:企業建立合規信息化具體要做哪些關鍵工作?
施浩:首先是梳理業務流程。合規信息化的基礎在於業務流程加業務流程合規的模式。因此,梳理業務流程是合規信息化的第一個關鍵點。其要點在於,以業務特點爲導向,梳理業務從產生到終止過程中的各個流程與節點,明確這些流程節點中所需要的業務文件與業務要素。
其次是整合要素文件。合規審查的內容主要基於業務文件與業務要素。有的業務要素來源於業務文件,有的業務要素需要通過非業務文件形式比如OA獲取。它們的整合包括三個方面:一是確定業務流程節點中必要的業務文件與業務要素,如果這些文件與要素缺失,本身就是業務不規範操作的行爲之一;二是將業務要素與文件進行專業性融合,這是形成合規審查模型的重要環節,可讓法律法規以及行業標準可操作;三是將業務要素與文件進行創新組合,需要針對上一環節已經形成的組合性合規審查模型進一步提出可操作、可實施的防止舞弊與相關處理意見,從而形成新的防治業務舞弊行爲可操作性標準。
最後是將合規信息化合理部分開源。合規模型的形成與應用需要實踐場景檢驗。在這一過程中,以合理的開源平臺邀請更多專業人士發現合規審查模型、合規流程可優化之處,這是保證合規信息化能夠始終符合具體業務實踐的重要途徑。但在這一做法中,需要關注企業的商業秘密、數據安全和數據交易合規。
滿足企業不同需求
良好的信息系統管理治理與信息技術內部控制框架設計,是信息化成功建設的關鍵支撐要素。
《法人》:不同類型的企業打造合規信息化是否有所區別?
施浩:從企業規模來看,不同規模企業對合規信息化的需求不同。我在前期調研時發現,小微企業更爲關注稅務、商務談判、法律糾紛等方面的商務合規智能化;專精特新企業,其合規信息化的需求集中於數據交易、知識產權、環境影響等專業鑑定和快速評估的合規報告;上市公司合規信息化不僅要涉及行業特徵的業務評估,還包括上市過程中的IPO合規、上市交易過程中的信息披露合規等;大型民營企業則更爲關注如何通過合規信息化打開更大市場,因此,通過合規優化業務組合與效率是民營企業關注重點;國企、央企的合規信息化需求來源於《中央企業合規管理辦法》及《中央企業法律糾紛企業管理辦法》,要求合規信息化能覆蓋全業務領域,不僅保證企業法律、審計、財務等內控的智能化需求,還要涉及企業對外合作投資中的各項政策研究、投資規劃、域外合作風險等合規事宜的智能化呈現。
同時,不同行業的企業在合規信息化上有所差異。合規信息化功能模塊分爲基礎模塊和特色模塊。基礎模塊是根據企業商品買賣或投資行爲爲導向,設立採購或投資合規信息化模塊。而不同行業領域企業針對不同業務需要不同的合規信息化予以實現。例如,在公路行業中,大量涉及工程管理、運輸管理、收費稽查等專業領域業務,需要針對行業特點設立不同流程管理的合規信息化模塊;而在醫藥行業中,庫存管理、商業比價、域外藥品管理等是帶有專業領域的業務,因此,醫藥行業合規信息化模塊在基礎模塊的前提下又與其他行業不同。
《法人》:目前,企業合規信息化落地障礙是什麼?
施浩:企業缺少頂層設計,不知如何系統建設合規信息化,實踐中更多停留在合同審查層面。同時,缺少規則模型。因爲將法律風控、內控審計的專家經驗內化爲規則模型嵌入系統,並使其自動實現的技術門檻高,難度大。最後是缺少數據基礎。多數企業基礎信息化程度較低,線下環節較多,缺少數據中臺,導致合規信息化系統運行缺少必要的數據來源。
責編 |惠寧寧編審|渠 洋校對| 張 波 張雪慧來源|《法人》雜誌2023年08月總第234期